CN106162574B - 集群***中应用统一鉴权方法、服务器与终端 - Google Patents

集群***中应用统一鉴权方法、服务器与终端 Download PDF

Info

Publication number
CN106162574B
CN106162574B CN201510154448.3A CN201510154448A CN106162574B CN 106162574 B CN106162574 B CN 106162574B CN 201510154448 A CN201510154448 A CN 201510154448A CN 106162574 B CN106162574 B CN 106162574B
Authority
CN
China
Prior art keywords
authentication
token
network element
server
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510154448.3A
Other languages
English (en)
Other versions
CN106162574A (zh
Inventor
魏建苗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu TD Tech Ltd
Original Assignee
Chengdu TD Tech Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to CN201510154448.3A priority Critical patent/CN106162574B/zh
Application filed by Chengdu TD Tech Ltd filed Critical Chengdu TD Tech Ltd
Priority to PCT/CN2016/078339 priority patent/WO2016155668A1/zh
Priority to EP16771423.7A priority patent/EP3267704B1/en
Priority to RS20200925A priority patent/RS60661B1/sr
Priority to HUE16771423A priority patent/HUE050072T2/hu
Priority to ES16771423T priority patent/ES2805809T3/es
Publication of CN106162574A publication Critical patent/CN106162574A/zh
Priority to US15/721,449 priority patent/US10721230B2/en
Application granted granted Critical
Publication of CN106162574B publication Critical patent/CN106162574B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • H04W4/10Push-to-Talk [PTT] or Push-On-Call services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Power Engineering (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例提供一种集群***中应用统一鉴权方法、服务器与终端,该方法包括:服务器的应用服务网元接收终端发送的注册请求并发送给认证鉴权网元,注册请求携带指示发起注册请求的用户的唯一身份的令牌,令牌为用户登录终端时服务器的认证鉴权网元为其分配的;然后,认证鉴权网元根据令牌,对用户进行令牌认证;最后,若令牌认证通过,则应用服务网元与终端进行应用服务交互。该过程中,对各应用服务网元的鉴权是通过终端成功登录并获得的认证鉴权网元为其分配的令牌进行的,集群通信中使用该User ID作为各个应用业务的统一标识,各应用服务的鉴权和用户登录有效的结合起来,做到统一鉴权认证,从而提高集群***的安全性。

Description

集群***中应用统一鉴权方法、服务器与终端
技术领域
本发明实施例涉及集群***,尤其涉及一种集群***中应用统一鉴权方法、服务器与终端。
背景技术
集群***是一种为满足行业用户指挥调度等需求而开发的面向特定行业应用的专用无线通信***。
基于长期演进(Long Term Evolution,LTE)的宽带集群***逐步向以用户为基础的业务管理演进,用户账号注册时本身存在账号的鉴权认证。另外,集群***在会话初始协议(Session Initiation Protocol,SIP)层面有SIP认证和鉴权,其使用传统的用户名和密码进行摘要认证,即通过用户名和密码进行401或者407消息进行挑战鉴权,详细可参见标准(Request For Comments,RFC)3261;而且,集群***中各种应用服务出于安全性考虑,也需要对终端进行鉴权认证。
现有技术中,用户本身存在账号的鉴权认证,集群业务、语音点呼有SIP认证鉴权,其它应用服务也有各自的认证鉴权,各种鉴权认证的用户名和密码各自保存,接口中会存在用户名和密码信息,对安全构成很大威胁。
发明内容
本发明实施例提供一种集群***中应用统一鉴权方法、服务器与终端,通过使用该User ID作为各个应用业务的统一标识,各应用服务的鉴权和用户登录有效的结合起来,做到了统一鉴权认证,从而提高了集群***的安全性。
第一个方面,本发明实施例提供一种集群***中应用统一鉴权方法,包括:
服务器的应用服务网元接收终端发送的注册请求,所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌和所述用户的身份标识,所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的;
所述服务器的应用服务网元根据所述身份标识对所述终端进行注册;并向所述服务器的认证鉴权网元发送所述令牌;
所述服务器的认证鉴权网元根据所述令牌,对所述用户进行令牌认证;
若所述令牌认证通过,则所述服务器的应用服务网元与所述终端进行应用服务交互。
在第一个方面的第一种可能的实现方式中,所述服务器的应用服务网元接收终端发送的注册请求之前,还包括:
所述服务器的认证鉴权网元接收所述用户通过所述终端发送的登录请求,所述登录请求携带所述身份标识;
所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证;
若鉴权认证通过,则所述服务器的认证鉴权网元为所述用户分配所述令牌;
所述服务器的认证鉴权网元向所述终端发送登录响应消息,所述登录响应消息携带所述令牌。
在第一个方面的第二种可能的实现方式中,所述服务器的应用服务网元接收终端发送的注册请求之前,还包括:
所述服务器的认证鉴权网元接收所述用户通过所述终端发送的登录请求,所述登录请求携带所述身份标识;
所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证;
若鉴权认证通过,则所述服务器的认证鉴权网元为所述用户分配所述令牌并配置令牌过期时间;
所述服务器的认证鉴权网元向所述终端发送登录响应消息,所述登录响应消息携带所述令牌及所述令牌过期时间。
结合第一个方面的第二种可能的实现方式,在第一个方面的第三种可能的实现方式中,若所述令牌认证通过,则所述服务器的应用服务网元与所述终端进行应用服务交互之前还包括:
所述服务器的认证鉴权网元接收所述终端在所述令牌过期时间到期之前发送的刷新消息;
所述服务器的认证鉴权网元根据所述刷新消息,为所述终端重新分配令牌和令牌过期时间。
结合第一个方面的第二种可能的实现方式,在第一个方面的第四种可能的实现方式中,若所述令牌认证通过,则所述服务器的应用服务网元与所述终端进行应用服务交互之前还包括:
所述服务器的认证鉴权网元向所述终端发送刷新通知,以使所述终端获取新的令牌和令牌过期时间。
第二个方面,本发明实施例提供一种集群***中应用统一鉴权方法,包括:
终端向服务器的应用服务网元发送注册请求,所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌及身份标识,以使所述服务器的应用服务网元根据所述身份标识对所述终端进行注册,并将所述令牌发送给所述服务器的认证鉴权网元,进而由所述服务器的认证鉴权网元根据令牌,对所述用户进行令牌认证,所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的;
若所述令牌认证通过,则所述终端与所述应用服务器的应用服务网元进行应用服务交互。
在第二个方面的第一种可能的实现方式中,所述终端向服务器的应用服务网元发送注册请求之前,还包括:
所述终端向所述服务器的认证鉴权网元发送登录请求,以使所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证,所述登录请求携带所述身份标识;
所述终端接收所述服务器的认证鉴权网元发送的登录响应消息,所述登录响应消息携带所述令牌。
在第二个方面的第二种可能的实现方式中,所述终端向服务器的应用服务网元发送注册请求之前,还包括:
所述终端向所述服务器的认证鉴权网元发送登录请求,以使所述服务器的认证鉴权网元根据身份标识对所述用户进行鉴权认证,所述登录请求携带所述身份标识;
所述终端接收所述服务器的认证鉴权网元发送的登录响应消息,所述登录响应消息携带所述令牌和令牌过期时间。
结合第二个方面的第二种可能的实现方式,在第二个方面的第三种可能的实现方式中,所述若所述令牌认证通过,则所述终端与所述应用服务器的应用服务网元进行应用服务交互之前,还包括:
所述终端在所述令牌过期时间到期之前向所述服务器的认证鉴权网元发送刷新消息;
所述终端接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。
结合第二个方面的第二种可能的实现方式,在第二个方面的第四种可能的实现方式中,所述若所述令牌认证通过,则所述终端与所述应用服务器的应用服务网元进行应用服务交互之前,还包括:
所述终端接收所述服务器的认证鉴权网元在判断出所述生效时间过期后发送的刷新通知;
所述终端向所述服务器的认证鉴权网元发送刷新消息;
所述终端接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。
第三个方面,本发明实施例提供一种服务器,包括:应用服务网元与认证鉴权网元,所述应用服务网元接收终端发送的注册请求,所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌和所述用户的身份标识,所述令牌为所述用户登录所述终端时所述认证鉴权网元为其分配的;
所述应用服务网元根据所述身份标识对所述终端进行注册;并向所述认证鉴权网元发送所述令牌;
所述认证鉴权网元根据所述令牌,对所述用户进行令牌认证;
若所述令牌认证通过,则所述应用服务网元与所述终端进行应用服务交互。
在第三个方面的第一种可能的实现方式中,所述应用服务网元接收终端发送的注册请求之前,还包括:
所述认证鉴权网元接收所述用户通过所述终端发送的登录请求,所述登录请求携带所述身份标识;
所述认证鉴权网元根据所述身份标识对所述用户进行鉴权认证;
若鉴权认证通过,则所述认证鉴权网元为所述用户分配所述令牌;
所述认证鉴权网元向所述终端发送登录响应消息,所述登录响应消息携带所述令牌。
在第三个方面的第二种可能的实现方式中,所述应用服务网元接收终端发送的注册请求之前,还包括:
所述认证鉴权网元接收所述用户通过所述终端发送的登录请求,所述登录请求携带所述身份标识;
所述认证鉴权网元根据所述身份标识对所述用户进行鉴权认证;
若鉴权认证通过,则所述认证鉴权网元为所述用户分配所述令牌并配置令牌过期时间;
所述认证鉴权网元向所述终端发送登录响应消息,所述登录响应消息携带所述令牌及所述令牌过期时间。
结合第三个方面的第二种可能的实现方式,在第三个方面的第三种可能的实现方式中,若所述令牌认证通过,则所述应用服务网元与所述终端进行应用服务交互之前还包括:
所述认证鉴权网元接收所述终端在所述令牌过期时间到期之前发送的刷新消息;
所述认证鉴权网元根据所述刷新消息,为所述终端重新分配令牌和令牌过期时间。
结合第三个方面的第二种可能的实现方式,在第三个方面的第四种可能的实现方式中,若所述令牌认证通过,则所述应用服务网元与所述终端进行应用服务交互之前还包括:
所述认证鉴权网元向所述终端发送刷新通知,以使所述终端获取新的令牌和令牌过期时间。
第四个方面,本发明实施例提供一种终端,包括:
发送模块,用于服务器的应用服务网元发送注册请求,所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌及身份标识,以使所述服务器的应用服务网元根据所述身份标识对所述终端进行注册,并将所述令牌发送给所述服务器的认证鉴权网元,进而由所述服务器的认证鉴权网元根据令牌,对所述用户进行令牌认证,所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的;
交互模块,用于若所述令牌认证通过,则与所述应用服务器的应用服务网元进行应用服务交互。
在第四个方面的第一种可能的实现方式中,所述终端还包括:第一接收模块,
所述发送模块,用于在向所述服务器的应用服务网元发送注册请求之前,向所述服务器的认证鉴权网元发送登录请求,以使所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证,所述登录请求携带所述身份标识;
所述终端接收,用于接收所述服务器的认证鉴权网元发送的登录响应消息,所述登录响应消息携带所述令牌。
在第四个方面的第二种可能的实现方式中,所述终端还包括:第二接收模块,
所述发送模块,用于在向服务器的应用服务网元发送注册请求之前,向所述服务器的认证鉴权网元发送登录请求,以使所述服务器的认证鉴权网元根据身份标识对所述用户进行鉴权认证,所述登录请求携带所述身份标识;
所述第二接收模块,用于接收所述服务器的认证鉴权网元发送的登录响应消息,所述登录响应消息携带所述令牌和令牌过期时间。
结合第四个方面的第二种可能的实现方式,在第四个方面的第三种可能的实现方式中,所述发送模块,还用于若所述令牌认证通过,则在所述交互模块与所述应用服务器的应用服务网元进行应用服务交互之前,在所述令牌过期时间到期之前向所述服务器的认证鉴权网元发送刷新消息;
所述第二接收模块,用于接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。
结合第四个方面的第二种可能的实现方式,在第四个方面的第四种可能的实现方式中,所述若所述令牌认证通过,则所述终端与所述应用服务器的应用服务网元进行应用服务交互之前,还包括:
所述第二接收模块,还用于若所述令牌认证通过,所述交互模块与所述应用服务器的应用服务网元进行应用服务交互之前,接收所述服务器的认证鉴权网元在判断出所述生效时间过期后发送的刷新通知;
所述发送模块,还用于向所述服务器的认证鉴权网元发送刷新消息;
所述第二接收模块,还用于接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。
本发明实施例提供的集群***中应用统一鉴权方法、服务器与终端,服务器的应用服务网元接收终端发送的注册请求并发送给服务器的认证鉴权网元,注册请求携带指示发起注册请求的用户的唯一身份的令牌,令牌为用户登录终端时服务器的认证鉴权网元为其分配的;然后,服务器的认证鉴权网元根据令牌,对用户进行令牌认证;最后,若令牌认证通过,则服务器的应用服务网元与终端进行应用服务交互。该过程中,对各应用服务网元的鉴权是通过终端成功登录并获得的服务器的认证鉴权网元为其分配的令牌进行的,集群通信中使用该User ID作为各个应用业务的统一标识,各应用服务的鉴权和用户登录有效的结合起来,做到了统一鉴权认证,从而提高了集群***的安全性。
附图说明
图1为本发明集群***中应用服务统一鉴权方法实施例一的流程图;
图2为本发明集群***中应用服务统一鉴权方法实施例二的流程图;
图3为本发明集群***中应用服务统一鉴权方法实施例三的过程示意图;
图4为本发明集群***中应用统一鉴权方法实施例四的逻辑框架图;
图5为本发明集群***中应用服务统一鉴权方法实施例五的信令图;
图6为本发明集群***中应用服务统一鉴权方法实施例六的信令图
图7为本发明服务器实施例一的结构示意图;
图8为本发明终端实施例一的结构示意图;
图9为本发明终端实施例二的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明集群***中应用服务统一鉴权方法实施例一的流程图。本实施例是从服务器的角度对本发明进行详细阐述,本实施例适用于LTE宽带集群***中,需要对各应用统一鉴权的场景。本发明实施例中,服务器的认证鉴权网元例如可以是鉴权认证服务(Authentication Authorization Server,AAS)逻辑网元,服务器的应用服务网元例如可以是用户信息服务(User Information Server,UIS)逻辑网元、会话初始协议核心(Session Initiation Protocol core,SIP core)逻辑网元、短数据服务(Short DataService,SDS)逻辑网元等,本发明并不以此为限制。具体的,本实施例包括如下步骤:
101、服务器的应用服务网元接收终端发送的注册请求,所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌和所述用户的身份标识,所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的。
本发明实施例中,服务器例如可以为单点登录服务器,当用户通过终端提供的登录界面成功登录并获得服务器的认证鉴权网元为其分配的令牌(Token)后,需要进行集群业务时,向服务器的应用服务网元发送注册请求以进行应用服务的鉴权认证,鉴权认证完成后才可以与该服务器的应用服务网元进行应用服务交互,才可以合法使用该应用服务网元提供的业务。其中,令牌为用户登录终端时由服务器的认证鉴权网元为其分配的。
102、所述服务器的应用服务网元根据所述身份标识对所述终端进行注册;并向所述服务器的应用服务网元向服务器的认证鉴权网元发送携带所述令牌的所述注册请求。
服务器的应用服务网元在接收到终端发送的注册请求后,根据身份标识对所端进行注册,并将该注册请求中携带的Token发送到服务器的认证鉴权网元,以使得服务器的认证鉴权网元通过该Token对用户进行令牌认证。
103、所述服务器的认证鉴权网元根据所述令牌,对所述用户进行令牌认证。
在接收到服务器的应用服务网元发送的令牌后,服务器的认证鉴权网元根据该令牌,对用户进行令牌认证。
104、若所述令牌认证通过,则所述服务器的应用服务网元与所述终端进行应用服务交互。
令牌认证完成后,用户才可以与该服务器的应用服务网元进行应用服务交互,才可以合法使用该应用服务网元提供的业务。
本发明实施例提供的集群***中应用统一鉴权方法,服务器的应用服务网元接收终端发送的注册请求并发送给服务器的认证鉴权网元,注册请求携带指示发起注册请求的用户的唯一身份的令牌,令牌为用户登录终端时服务器的认证鉴权网元为其分配的;然后,服务器的认证鉴权网元根据令牌,对用户进行令牌认证;最后,若令牌认证通过,则服务器的应用服务网元与终端进行应用服务交互。该过程中,对各应用服务网元的鉴权是通过终端成功登录并获得的服务器的认证鉴权网元为其分配的令牌进行的,集群通信中使用该User ID作为各个应用业务的统一标识,各应用服务的鉴权和用户登录有效的结合起来,做到了统一鉴权认证,从而提高了集群***的安全性。
可选的,在本发明一实施例中,服务器的应用服务网元接收终端发送的注册请求之前,服务器的认证鉴权网元接收用户通过终端发送的登录请求,登录请求携带身份标识;服务器的认证鉴权网元根据身份标识对用户进行鉴权认证;若鉴权认证通过,则服务器的认证鉴权网元为用户分配令牌;服务器的认证鉴权网元向终端发送登录响应消息,登录响应消息携带令牌。
具体的,服务器的认证鉴权网元接收用户通过终端发送的登录请求,该登录请求携带用户的身份标识,如User ID、登录密码(Pass word);然后,服务器的认证鉴权网元根据User ID Password等对用户进行鉴权认证;若鉴权认证通过,则为用户分配指示该用户唯一身份的令牌并通过登录响应消息将该令牌发送给终端。
可选的,在本发明一实施例中,服务器的应用服务网元接收终端发送的注册请求之前,服务器的认证鉴权网元接收用户通过终端发送的登录请求,登录请求携带用户的身份标识;服务器的认证鉴权网元根据身份标识对用户进行鉴权认证;若鉴权认证通过,则服务器的认证鉴权网元为用户分配令牌和令牌过期时间,并通过登录响应消息将该令牌和令牌过期时间发送给终端。
图2为本发明集群***中应用服务统一鉴权方法实施例二的流程图。本实施例是从终端的角度对本发明进行详细阐述,本实施例适用于LTE宽带集群***中,需要对各应用统一鉴权的场景。具体的,本实施例包括如下步骤:
201、终端向服务器的应用服务网元发送注册请求,所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌及身份标识,以使所述服务器的应用服务网元根据所述身份标识对所述终端进行注册,并将所述令牌发送给所述服务器的认证鉴权网元,进而由所述服务器的认证鉴权网元根据令牌,对所述用户进行令牌认证,所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的。
本实施例中有关服务器的应用服务网元、服务器的认证鉴权网元等的描述可参见图1所示实施例,在此不再赘述。
202、若所述令牌认证通过,则所述终端与所述应用服务器的应用服务网元进行应用服务交互。
令牌认证完成后,用户才可以与该服务器的应用服务网元进行应用服务交互,才可以合法使用该应用服务网元提供的业务。
本发明实施例提供的集群***中应用统一鉴权方法,终端向服务器的应用服务网元发送注册请求携带令牌的注册请求,使得服务器的应用服务网元将该注册请求发送给服务器的认证鉴权网元,由服务器的认证鉴权网元根据令牌,对用户进行令牌认证,若令牌认证通过,则服务器的应用服务网元与终端进行应用服务交互。该过程中,对各应用服务网元的鉴权是通过终端成功登录并获得的服务器的认证鉴权网元为其分配的令牌进行的,集群通信中使用该User ID作为各个应用业务的统一标识,各应用服务的鉴权和用户登录有效的结合起来,做到了统一鉴权认证,从而提高了集群***的安全性。
可选的,在本发明二实施例中,终端向服务器的应用服务网元发送注册请求之前,还向服务器的认证鉴权网元发送登录请求,以使服务器的认证鉴权网元根据身份标识对用户进行鉴权认证,登录请求携带身份标识;然后,终端接收服务器的认证鉴权网元发送的登录响应消息,登录响应消息携带令牌。
可选的,在本发明二实施例中,终端向服务器的应用服务网元发送注册请求之前,还向服务器的认证鉴权网元发送登录请求,以使服务器的认证鉴权网元根据身份标识对用户进行鉴权认证,登录请求携带身份标识;然后,终端接收服务器的认证鉴权网元发送的登录响应消息,登录响应消息携带令牌和令牌过期时间。
图3为本发明集群***中应用服务统一鉴权方法实施例三的过程示意图。本实施例是以用户登录后,服务器的认证鉴权网元对服务器的应用服务网元1~n进行统一鉴权为例对本发明进行详细阐述的。具体包括如下步骤:
301、终端向服务器的认证鉴权网元发送登录请求。
本步骤中,终端提供登录界面,当用户需要登录时,终端进入登录界面,输入用户名和密码后向服务器发送登录(Log on)请求,服务器的认证鉴权网元接收该登录请求。该过程中,可选的,登录请求可携带用户标识(User ID)等,User ID作为集群通信中各个应用服务的统一标识。
302、服务器的认证鉴权网元向终端发送令牌。
服务器的认证鉴权网元在接收到登录请求,对用户鉴权通过后,为用户分配令牌并发送给终端。
303、终端向应用服务网元1发送携带令牌的注册请求。
304、应用服务网元1向认证鉴权网元发送令牌以进行令牌认证。
本步骤中,服务器的应用服务网元1发送令牌到服务器的认证鉴权网元以进行令牌认证。
305、终端向应用服务网元2发送携带令牌的注册请求。
306、应用服务网元2向认证鉴权网元发送令牌以进行令牌认证。
307、终端向应用服务网元3发送携带令牌的注册请求。
308、应用服务网元3向认证鉴权网元发送令牌以进行令牌认证。
由图3可知,服务器的认证鉴权网元提供单点登录服务器,用户到服务器的认证鉴权网元进行登录认证,成功登录后由服务器的认证鉴权网元为其分配token;然后,终端到服务器的各应用服务网元进行注册,携带同一个token,各应用服务网元通过该token到认证鉴权网元进行令牌认证,认证完成后,用户才可以与该服务器的各应用服务网元进行应用服务交互,才可以合法使用各应用服务网元提供的业务。
需要说明的是,本实施例中,步骤303、305、307的执行并无严格的先后顺序,例如,在其他可行的实现方式中,也可以是终端先到应用服务网元2或应用服务网元n(n≠1)进行注册,然后到应用服务网元1进行注册。
图4为本发明集群***中应用统一鉴权方法实施例四的逻辑框架图。请参照图4,服务器中的主要逻辑网元有用户数据中心(User Data Center,UDC)、多媒体调度中心(Multimedia Dispatch Center,MDC)、核心分组网演进(Evolved Packet core,EPC)、会话初始协议核心(Session Initiation Protocol core,SIP core)等,后续的流程实现以该框架为基础进行阐述。
其中,UDC具有承担用户、群组等开户数据的配置管理,以及统一登录服务、用户信息服务、策略服务、安全配置服务等功能,其可提供鉴权认证服务(AuthenticationAuthorization Server,AAS)、用户信息服务(User Information Server,UIS)、服务质量控制(Quality Of Service Control,QoS)、安全服务(Security Server)、用户管理(UserManagement)、群组管理(Group Management)等,其中,AAS为统一鉴权认证中心,提供用户的登录管理服务、用户的应用服务接入地址、各应用的鉴权服务等,可和标准的第三方验证、授权和记账(Authentication、Authorization、Accounting,AAA)服务对接。UIS可提供通讯录服务、用户静态数据配置服务、用户权限Profile下载服务以及提供给群组使用的群组列表下载服务等。
MDC以业务为中心,可提供组呼(Push to Talk,PTT server)、点呼服务、集群服务、蜂窝上的实时集群对讲业务(Push to talk over Cellular,POC)、短数据服务(ShortData Service,SDS)、录音录像服务等。
SIP core为SIP接入路由中心,提供SIP注册和路由服务。
EPC为***演进结构(System Architecture Evolution,SAE)的主要组成部分。
如图4所示,A1为UDC与终端之间的接口,其采用超文本传输协议(Hyper TextTransfer Protocol,HTTP)/信令适配层(Signaling Atm Adaptation Layer,SAAL)进行通信;A2为UDC与SIP core之间的接口;A3为UDC与MDC之间的接口;B1为终端与SIP core之间的接口,其采用SIP进行通信;B2为SIP core与MDC之间的接口之间的接口,其采用SIP进行通信;B3为MDC与EPC之间的接口,其可为策略和计费规则功能(Policy And ChargingRules Function,PCRF)接口或Rx接口;B4为MDC与EPC之间的接口,其可为MB2-C接口或MB2-U接口;B5为MDC与终端之间的接口,其可为媒体面接口。下面,结合图3,对本发明集群***中应用统一鉴权方法进行详细说明。具体可参见图5与图6。
图5为本发明集群***中应用服务统一鉴权方法实施例五的信令图,本实施例是以服务器的认证鉴权网元为AAS,服务器的应用服务网元分别为UIS、SIP core或SDS为例对本发明进行详细阐述的,其具体包括如下步骤:
501、用户发起登录请求。
终端进入登录界面,输入用户的用户名和密码后发起登录过程,向AAS发送登录(Log on)请求,该Log on请求携带用户标识User ID。可选的,该登录请求还携带用户密码(Pass word)以及终端所属区域的区域位置标识Area ID等。
502、对用户鉴权并分配令牌。
AAS对用户进行认证鉴权,鉴权通过后为用户分配唯一身份令牌。可选的,鉴权通过后,AAS还保存User ID和Area ID的对应关系。
503、AAS向终端发送携带令牌的登录响应消息。
504、终端向UIS发送携带令牌和用户标识的注册请求。
当服务器的应用服务网元为UIS时,终端向UIS发送携带令牌和用户标识(UserID)的注册请求(Register)。
505、UIS向AAS发送令牌以进行令牌认证。
本步骤中,UIS向AAS发送令牌以进行令牌认证。
506、UIS向终端发送注册响应消息。
当AAS对UIS的令牌认证通过后,UIS向终端返回会话标识(Session ID),并向终端发送注册响应消息以告知终端令牌认证通过。
507、终端到UIS获取用户权限。
508、终端到UIS获取企业通讯录。
509、终端到UIS获取群组信息列表。
步骤507~509中,终端向UIS请求下载用户权限(Profile)信息、企业通讯录(Address Book)内容、群组信息列表(Group List)等,其中,群组信息列表用于终端做群组扫描、群组加入及显示等。
另外,步骤506~509终端与UIS的交互中,协议可采用超文本传输协议(HyperText Transport Protocol,HTTP)等,本发明并不以此为限制。
510、终端向SIP core发送携带令牌和用户标识的注册请求。
若终端与UIS交互获取到用户权限、群组列表后,若终端拥有集群权限,则本步骤中,终端向SIP core发起SIP注册,携带User ID和成功登录后获取的唯一身份令牌。
511、SIP core向AAS发送令牌以进行令牌认证。
SIP core接收到终端发送的注册请求后,将注册请求携带的令牌和User ID发送给AAS,以使得AAS对用户进行令牌认证。
512、SIP core向终端发送注册响应消息。
若令牌认证通过,SIP core向终端发送注册响应消息,如SIP core向终端返回注册200OK应答。
513、终端与SIP Core之间建立集群业务信令。
令牌认证通过后,终端与SIP core之间可进行集群业务的信令建立过程。
上述步骤510~513中,终端与SIP Core的交互中,在应用层面不具体区分SIP的点呼、集群、短信等,SIP core应用集中注册。
另外,步骤510~513终端与SIP core的交互中,协议可采用超SIP协议等,本发明并不以此为限制。
514、终端向SDS发送携带令牌和用户标识的注册请求。
若终端与UIS交互获取到用户权限、群组列表后,若终端拥有短数据业务权限,则本步骤中,终端向SDS发起注册,携带User ID和成功登录后获取的唯一身份令牌。
515、SDS向AAS发送令牌以进行令牌认证。
SDS接收到终端发送的注册请求后,将注册请求携带的令牌和User ID发送给AAS,以使得AAS对用户进行令牌认证。
516、SDS向终端发送注册响应消息。
若令牌认证通过,SDS向终端发送注册响应消息,如SIP core向终端返回注册命令正确应答(Acknowledgement Character,ACK)
517、终端与SDS进行短数据业务交互。
令牌认证通过后,终端与SDS之间可进行短数据业务交互。
上述步骤514~517终端与SDS的交互中,协议可采用可扩展通讯和表示协议(Xmlbased Messaging And Presence Protocol,XMPP)等,本发明并不以此为限制。
另外,需要说明的是,上述终端与SIP core(即步骤510~513)、终端与SDS的交互并没有严格的顺序,例如,在其他可行的实现方式中,也可以是终端先与SDS交互,然后终端在于SIP core交互;或者,终端仅与SIP core交互;或者,终端仅与SDS交互。
图6为本发明集群***中应用服务统一鉴权方法实施例六的信令图,相较于图5所示实施例,本实施例中,服务器的认证鉴权网元在接收到终端发送的登录请求后,对终端进行鉴权后,除了为终端分配令牌,还为该令牌分配令牌过期时间,其具体包括如下步骤;
601、用户发起登录请求。
602、AAS对用户鉴权并在T0时刻分配令牌及令牌过期时间。
本步骤中,除了为用户分配令牌外,AAS还分配该令牌对应的令牌过期时间。
603、AAS向终端发送携带令牌及令牌过期时间的登录响应消息。
604、终端在T1时刻保存令牌及令牌过期时间。
在接收到登录响应消息后,终端在当前时刻T1保存令牌及令牌过期时间。例如,假设T0为12:00,T1为12:01,令牌过期时间为20分钟,则该在T0时刻分配的令牌将在12:21分过期。
605、终端与UIS采用T0时刻分配的令牌进行认证鉴权及应用服务交互。
终端执行令牌过期时间之前的应用注册,例如,终端到UIS进行注册并进行后续的用户Profile、通讯录及群组列表的下载等,具体可参见上述步骤507~509,此处不再赘述。
606、终端在T2时刻向AAS发送刷新消息。
终端在令牌过期时间到期之前,终端向AAS发送刷新消息以获取新的令牌和令牌过期时间。例如,在T2时刻,假设T2=T1+令牌过期时间*90%时,沿用步骤604中的例子,则在T2为12:19分时,终端向AAS发送刷新消息以获取新的令牌和令牌过期时间。
607、AAS向终端发送携带新的令牌及新的令牌过期时间的刷新响应消息。
需要说明的是,除了终端可以主动向AAS发送刷新流程以获取新的令牌及令牌过期时间外,也可以是AAS主动向终端发送刷新通知,以使得终端在收到AAS在收到刷新通知后向AAS发起令牌刷新流程,具体可参见步骤608~
608、AAS在T3时刻向终端发送刷新通知。
AAS在令牌过期时间到期之前向终端发送刷新通知,以使终端获取新的令牌和令牌过期时间。例如,终端T3时刻发起刷新流程,T3=T0+令牌过期时间时,沿用步骤604中的例子,则在T3为12:20分时,终端向AAS发送刷新消息以获取新的令牌和令牌过期时间。
609、终端向AAS发送刷新消息。
终端向AAS发送刷新消息以获取新的令牌和令牌过期时间。
610、AAS向终端发送携带新的令牌及新的令牌过期时间的刷新响应消息。
上述步骤608~610可以看成一个异常保护流程,即当终端未在T1时刻发起刷新流程时,即上述步骤606、607未执行时才启动步骤608~610。当然,也可以将终端发起刷新流程与AAS通知终端发起刷新流程看做并列的方案,本发明并不以此为限制。
611、终端与SIP core采用新分配的令牌进行认证鉴权及应用服务交互。
图7为本发明服务器实施例一的结构示意图。本实施例提供的服务器,其可实现本发明任意实施例提供的应用于服务器的方法的各个步骤。具体的,本实施例提供的服务器具体包括:应用服务网元11与认证鉴权网元12。
其中,所述应用服务网元11接收终端发送的注册请求,所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌和所述用户的身份标识,所述令牌为所述用户登录所述终端时所述认证鉴权网元12为其分配的;
所述应用服务网元11根据所述身份标识对所述终端进行注册;并向所述认证鉴权网元12发送所述令牌;
所述认证鉴权网元12根据所述令牌,对所述用户进行令牌认证;
若所述令牌认证通过,则所述应用服务网元11与所述终端进行应用服务交互。
本发明实施例提供的服务器,服务器的应用服务网元接收终端发送的注册请求并发送给服务器的认证鉴权网元,注册请求携带指示发起注册请求的用户的唯一身份的令牌,令牌为用户登录终端时服务器的认证鉴权网元为其分配的;然后,服务器的认证鉴权网元根据令牌,对用户进行令牌认证;最后,若令牌认证通过,则服务器的应用服务网元与终端进行应用服务交互。该过程中,对各应用服务网元的鉴权是通过终端成功登录并获得的服务器的认证鉴权网元为其分配的令牌进行的,集群通信中使用该User ID作为各个应用业务的统一标识,各应用服务的鉴权和用户登录有效的结合起来,做到了统一鉴权认证,从而提高了集群***的安全性。
可选的,在本发明一实施例中,所述应用服务网元11接收终端发送的注册请求之前,还包括:
所述认证鉴权网元12接收所述用户通过所述终端发送的登录请求,所述登录请求携带所述身份标识;
所述认证鉴权网元12根据所述身份标识对所述用户进行鉴权认证;
若鉴权认证通过,则所述认证鉴权网元12为所述用户分配所述令牌;
所述认证鉴权网元12向所述终端发送登录响应消息,所述登录响应消息携带所述令牌。
可选的,在本发明一实施例中,所述应用服务网元11接收终端发送的注册请求之前,还包括:
所述认证鉴权网元12接收所述用户通过所述终端发送的登录请求,所述登录请求携带所述身份标识;
所述认证鉴权网元12根据所述身份标识对所述用户进行鉴权认证;
若鉴权认证通过,则所述认证鉴权网元12为所述用户分配所述令牌并配置令牌过期时间;
所述认证鉴权网元12向所述终端发送登录响应消息,所述登录响应消息携带所述令牌及所述令牌过期时间。
可选的,在本发明一实施例中,若所述令牌认证通过,则所述应用服务网元11与所述终端进行应用服务交互之前还包括:
所述认证鉴权网元12接收所述终端在所述令牌过期时间到期之前发送的刷新消息;
所述认证鉴权网元12根据所述刷新消息,为所述终端重新分配令牌和令牌过期时间。
可选的,在本发明一实施例中,若所述令牌认证通过,则所述应用服务网元11与所述终端进行应用服务交互之前还包括:
所述认证鉴权网元12向所述终端发送刷新通知,以使所述终端获取新的令牌和令牌过期时间。
图8为本发明终端实施例一的结构示意图。本实施例提供的终端,其可实现本发明任意实施例提供的应用于终端的方法的各个步骤。具体的,本实施例提供的终端具体包括:
发送模块21,用于服务器的应用服务网元发送注册请求,所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌及身份标识,以使所述服务器的应用服务网元根据所述身份标识对所述终端进行注册,并将所述令牌发送给所述服务器的认证鉴权网元,进而由所述服务器的认证鉴权网元根据令牌,对所述用户进行令牌认证,所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的;
交互模块22,用于若所述令牌认证通过,则与所述应用服务器的应用服务网元进行应用服务交互。
图9为本发明终端实施例二的结构示意图。如图9所示,本实施例提供的终端在图8所示终端的基础上,进一步的,还包括:第一接收模块23,
所述发送模块21,用于在向所述服务器的应用服务网元发送注册请求之前,向所述服务器的认证鉴权网元发送登录请求,以使所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证,所述登录请求携带所述身份标识;
所述终端接收,用于接收所述服务器的认证鉴权网元发送的登录响应消息,所述登录响应消息携带所述令牌。
再请参照图9,终端还包括:第二接收模块24,
所述发送模块21,用于在向服务器的应用服务网元发送注册请求之前,向所述服务器的认证鉴权网元发送登录请求,以使所述服务器的认证鉴权网元根据身份标识对所述用户进行鉴权认证,所述登录请求携带所述身份标识;
所述第二接收模块24,用于接收所述服务器的认证鉴权网元发送的登录响应消息,所述登录响应消息携带所述令牌和令牌过期时间。
可选的,在本发明一实施例中,所述发送模块21,还用于若所述令牌认证通过,则在所述交互模块22与所述应用服务器的应用服务网元进行应用服务交互之前,在所述令牌过期时间到期之前向所述服务器的认证鉴权网元发送刷新消息;
所述第二接收模块24,用于接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。
可选的,在本发明一实施例中,所述若所述令牌认证通过,则所述终端与所述应用服务器的应用服务网元进行应用服务交互之前,还包括:
所述第二接收模块24,还用于若所述令牌认证通过,所述交互模块22与所述应用服务器的应用服务网元进行应用服务交互之前,接收所述服务器的认证鉴权网元在判断出所述生效时间过期后发送的刷新通知;
所述发送模块21,还用于向所述服务器的认证鉴权网元发送刷新消息;
所述第二接收模块24,还用于接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (20)

1.一种集群***中应用统一鉴权方法,其特征在于,所述集群***由一个服务器的N个应用服务网元组成,其中,N为大于或等于2的正整数,所述方法包括:
服务器的N个应用服务网元中的每个应用服务网元接收终端发送的注册请求,所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌和所述用户的身份标识,所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的;
所述服务器的N个应用服务网元中的每个应用服务网元根据所述身份标识对所述终端进行注册;并向所述服务器的认证鉴权网元发送所述令牌;
所述服务器的认证鉴权网元根据所述令牌,对所述用户进行令牌认证;
若所述令牌认证通过,则所述服务器的N个应用服务网元中的每个应用服务网元与所述终端进行应用服务交互;
其中,服务器的N个应用服务网元中的每个应用服务网元根据所述令牌进行令牌鉴权,以统一身份验证鉴权。
2.根据权利要求1所述的方法,其特征在于,所述服务器的N个应用服务网元中的每个应用服务网元接收终端发送的注册请求之前,还包括:
所述服务器的认证鉴权网元接收所述用户通过所述终端发送的登录请求,所述登录请求携带所述身份标识;
所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证;
若鉴权认证通过,则所述服务器的认证鉴权网元为所述用户分配所述令牌;
所述服务器的认证鉴权网元向所述终端发送登录响应消息,所述登录响应消息携带所述令牌。
3.根据权利要求1所述的方法,其特征在于,所述服务器的N个应用服务网元中的每个应用服务网元接收终端发送的注册请求之前,还包括:
所述服务器的认证鉴权网元接收所述用户通过所述终端发送的登录请求,所述登录请求携带所述身份标识;
所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证;
若鉴权认证通过,则所述服务器的认证鉴权网元为所述用户分配所述令牌并配置令牌过期时间;
所述服务器的认证鉴权网元向所述终端发送登录响应消息,所述登录响应消息携带所述令牌及所述令牌过期时间。
4.根据权利要求3所述的方法,其特征在于,若所述令牌认证通过,则所述服务器的N个应用服务网元中的每个应用服务网元与所述终端进行应用服务交互之前还包括:
所述服务器的认证鉴权网元接收所述终端在所述令牌过期时间到期之前发送的刷新消息;
所述服务器的认证鉴权网元根据所述刷新消息,为所述终端重新分配令牌和令牌过期时间。
5.根据权利要求3所述的方法,其特征在于,若所述令牌认证通过,则所述服务器的N个应用服务网元中的每个应用服务网元与所述终端进行应用服务交互之前还包括:
所述服务器的认证鉴权网元向所述终端发送刷新通知,以使所述终端获取新的令牌和令牌过期时间。
6.一种集群***中应用统一鉴权方法,其特征在于,所述集群***由一个服务器的N个应用服务网元组成,其中,N为大于或等于2的正整数,所述方法包括:
终端向服务器的N个应用服务网元中的每个应用服务网元发送注册请求,所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌及身份标识,以使所述服务器的N个应用服务网元中的每个应用服务网元根据所述身份标识对所述终端进行注册,并将所述令牌发送给所述服务器的认证鉴权网元,进而由所述服务器的认证鉴权网元根据令牌,对所述用户进行令牌认证,所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的;
若所述令牌认证通过,则所述终端与所述服务器的N个应用服务网元中的每个应用服务网元进行应用服务交互;
其中,服务器的N个应用服务网元中的每个应用服务网元根据所述令牌进行令牌鉴权,以统一身份验证鉴权。
7.根据权利要求6所述的方法,其特征在于,所述终端向服务器的N个应用服务网元中的每个应用服务网元发送注册请求之前,还包括:
所述终端向所述服务器的认证鉴权网元发送登录请求,以使所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证,所述登录请求携带所述身份标识;
所述终端接收所述服务器的认证鉴权网元发送的登录响应消息,所述登录响应消息携带所述令牌。
8.根据权利要求6所述的方法,其特征在于,所述终端向服务器的N个应用服务网元中的每个应用服务网元发送注册请求之前,还包括:
所述终端向所述服务器的认证鉴权网元发送登录请求,以使所述服务器的认证鉴权网元根据身份标识对所述用户进行鉴权认证,所述登录请求携带所述身份标识;
所述终端接收所述服务器的认证鉴权网元发送的登录响应消息,所述登录响应消息携带所述令牌和令牌过期时间。
9.根据权利要求8所述的方法,其特征在于,所述若所述令牌认证通过,则所述终端与所述服务器的N个应用服务网元中的每个应用服务网元进行应用服务交互之前,还包括:
所述终端在所述令牌过期时间到期之前向所述服务器的认证鉴权网元发送刷新消息;
所述终端接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。
10.根据权利要求8所述的方法,其特征在于,所述若所述令牌认证通过,则所述终端与所述服务器的N个应用服务网元中的每个应用服务网元进行应用服务交互之前,还包括:
所述终端接收所述服务器的认证鉴权网元在判断出所述令牌过期时间到期之前发送的刷新通知;
所述终端向所述服务器的认证鉴权网元发送刷新消息;
所述终端接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。
11.一种服务器,其特征在于,包括:N个应用服务网元与认证鉴权网元,所述N个应用服务网元中的每个应用服务网元接收终端发送的注册请求,所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌和所述用户的身份标识,所述令牌为所述用户登录所述终端时所述认证鉴权网元为其分配的;其中,N为大于或等于2的正整数;
所述N个应用服务网元中的每个应用服务网元根据所述身份标识对所述终端进行注册;并向所述认证鉴权网元发送所述令牌;
所述认证鉴权网元根据所述令牌,对所述用户进行令牌认证;
若所述令牌认证通过,则所述N个应用服务网元中的每个应用服务网元与所述终端进行应用服务交互;
其中,服务器的N个应用服务网元中的每个应用服务网元根据所述令牌进行令牌鉴权,以统一身份验证鉴权。
12.根据权利要求11所述的服务器,其特征在于,所述N个应用服务网元中的每个应用服务网元接收终端发送的注册请求之前,还包括:
所述认证鉴权网元接收所述用户通过所述终端发送的登录请求,所述登录请求携带所述身份标识;
所述认证鉴权网元根据所述身份标识对所述用户进行鉴权认证;
若鉴权认证通过,则所述认证鉴权网元为所述用户分配所述令牌;
所述认证鉴权网元向所述终端发送登录响应消息,所述登录响应消息携带所述令牌。
13.根据权利要求11所述的服务器,其特征在于,所述N个应用服务网元中的每个应用服务网元接收终端发送的注册请求之前,还包括:
所述认证鉴权网元接收所述用户通过所述终端发送的登录请求,所述登录请求携带所述身份标识;
所述认证鉴权网元根据所述身份标识对所述用户进行鉴权认证;
若鉴权认证通过,则所述认证鉴权网元为所述用户分配所述令牌并配置令牌过期时间;
所述认证鉴权网元向所述终端发送登录响应消息,所述登录响应消息携带所述令牌及所述令牌过期时间。
14.根据权利要求13所述的服务器,其特征在于,若所述令牌认证通过,则所述N个应用服务网元中的每个应用服务网元与所述终端进行应用服务交互之前还包括:
所述认证鉴权网元接收所述终端在所述令牌过期时间到期之前发送的刷新消息;
所述认证鉴权网元根据所述刷新消息,为所述终端重新分配令牌和令牌过期时间。
15.根据权利要求13所述的服务器,其特征在于,若所述令牌认证通过,则所述N个应用服务网元中的每个应用服务网元与所述终端进行应用服务交互之前还包括:
所述认证鉴权网元向所述终端发送刷新通知,以使所述终端获取新的令牌和令牌过期时间。
16.一种终端,其特征在于,包括:
发送模块,用于向服务器的N个应用服务网元中的每个应用服务网元发送注册请求,所述注册请求携带指示发起所述注册请求的用户的唯一身份的令牌及身份标识,以使所述服务器的N个应用服务网元中的每个应用服务网元根据所述身份标识对所述终端进行注册,并将所述令牌发送给所述服务器的认证鉴权网元,进而由所述服务器的认证鉴权网元根据令牌,对所述用户进行令牌认证,所述令牌为所述用户登录所述终端时所述服务器的认证鉴权网元为其分配的;
交互模块,用于若所述令牌认证通过,则与所述服务器的N个应用服务网元中的每个应用服务网元进行应用服务交互;
其中,服务器的N个应用服务网元中的每个应用服务网元根据所述令牌进行令牌鉴权,以统一身份验证鉴权。
17.根据权利要求16所述的终端,其特征在于,还包括:第一接收模块,
所述发送模块,用于在向所述服务器的N个应用服务网元中的每个应用服务网元发送注册请求之前,向所述服务器的认证鉴权网元发送登录请求,以使所述服务器的认证鉴权网元根据所述身份标识对所述用户进行鉴权认证,所述登录请求携带所述身份标识;
所述第一接收模块,用于接收所述服务器的认证鉴权网元发送的登录响应消息,所述登录响应消息携带所述令牌。
18.根据权利要求16所述的终端,其特征在于,还包括:第二接收模块,
所述发送模块,用于在向服务器的N个应用服务网元中的每个应用服务网元发送注册请求之前,向所述服务器的认证鉴权网元发送登录请求,以使所述服务器的认证鉴权网元根据身份标识对所述用户进行鉴权认证,所述登录请求携带所述身份标识;
所述第二接收模块,用于接收所述服务器的认证鉴权网元发送的登录响应消息,所述登录响应消息携带所述令牌和令牌过期时间。
19.根据权利要求18所述的终端,其特征在于,
所述发送模块,还用于若所述令牌认证通过,则在所述交互模块与所述服务器的N个应用服务网元中的每个应用服务网元进行应用服务交互之前,在所述令牌过期时间到期之前向所述服务器的认证鉴权网元发送刷新消息;
所述第二接收模块,用于接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。
20.根据权利要求18所述的终端,其特征在于,所述若所述令牌认证通过,则所述终端与所述服务器的N个应用服务网元中的每个应用服务网元进行应用服务交互之前,还包括:
所述第二接收模块,还用于若所述令牌认证通过,所述交互模块与所述服务器的N个应用服务网元中的每个应用服务网元进行应用服务交互之前,接收所述服务器的认证鉴权网元在判断出所述令牌过期时间到期之前发送的刷新通知;
所述发送模块,还用于向所述服务器的认证鉴权网元发送刷新消息;
所述第二接收模块,还用于接收所述服务器的认证鉴权网元根据所述刷新消息为所述终端重新分配令牌和令牌过期时间。
CN201510154448.3A 2015-04-02 2015-04-02 集群***中应用统一鉴权方法、服务器与终端 Active CN106162574B (zh)

Priority Applications (7)

Application Number Priority Date Filing Date Title
CN201510154448.3A CN106162574B (zh) 2015-04-02 2015-04-02 集群***中应用统一鉴权方法、服务器与终端
EP16771423.7A EP3267704B1 (en) 2015-04-02 2016-04-01 Method for unified application authentication in trunking system, server and terminal
RS20200925A RS60661B1 (sr) 2015-04-02 2016-04-01 Postupak objedinjene autentifikacije za aplikaciju u sistemu za povezivanje, servera i terminala
HUE16771423A HUE050072T2 (hu) 2015-04-02 2016-04-01 Eljárás egységes alkalmazás-hitelesítésre központok közötti kapcsolású rendszerben, kiszolgáló és terminálon
PCT/CN2016/078339 WO2016155668A1 (zh) 2015-04-02 2016-04-01 集群***中应用统一鉴权方法、服务器与终端
ES16771423T ES2805809T3 (es) 2015-04-02 2016-04-01 Procedimiento para la autenticación de aplicación unificada en un terminal, servidor y sistema de enlace troncal
US15/721,449 US10721230B2 (en) 2015-04-02 2017-09-29 Unified authentication method for application in trunking system, server and terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510154448.3A CN106162574B (zh) 2015-04-02 2015-04-02 集群***中应用统一鉴权方法、服务器与终端

Publications (2)

Publication Number Publication Date
CN106162574A CN106162574A (zh) 2016-11-23
CN106162574B true CN106162574B (zh) 2020-08-04

Family

ID=57006506

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510154448.3A Active CN106162574B (zh) 2015-04-02 2015-04-02 集群***中应用统一鉴权方法、服务器与终端

Country Status (7)

Country Link
US (1) US10721230B2 (zh)
EP (1) EP3267704B1 (zh)
CN (1) CN106162574B (zh)
ES (1) ES2805809T3 (zh)
HU (1) HUE050072T2 (zh)
RS (1) RS60661B1 (zh)
WO (1) WO2016155668A1 (zh)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104869175B (zh) * 2015-06-16 2018-07-27 腾讯科技(北京)有限公司 跨平台的账号资源共享实现方法、装置及***
CN107026832B (zh) * 2016-10-10 2021-01-15 创新先进技术有限公司 账户登录方法、设备和服务器
WO2018120217A1 (zh) * 2016-12-30 2018-07-05 华为技术有限公司 验证密钥请求方的方法和设备
CN109150800B (zh) * 2017-06-16 2022-05-13 中兴通讯股份有限公司 一种登录访问方法、***和存储介质
CN107943541B (zh) * 2017-11-22 2020-12-04 竞技世界(北京)网络技术有限公司 一种Windows本地组件的通讯方法
CN110022279B (zh) * 2018-01-08 2021-11-26 普天信息技术有限公司 一种微服务***中认证鉴权的方法和***
CN110955871B (zh) * 2018-09-26 2022-01-28 北京国双科技有限公司 一种数据获取方法及装置
CN109558710B (zh) * 2018-12-07 2022-02-15 泰康保险集团股份有限公司 用户登录方法、装置、***及存储介质
CN109802941A (zh) * 2018-12-14 2019-05-24 平安科技(深圳)有限公司 一种登录验证方法、装置、存储介质和服务器
CN111526111B (zh) * 2019-02-02 2021-10-22 腾讯科技(深圳)有限公司 登录轻应用的控制方法、装置和设备及计算机存储介质
CN109981478B (zh) * 2019-02-18 2022-07-22 新华三信息安全技术有限公司 一种报文处理方法及装置
CN111669351B (zh) * 2019-03-07 2022-05-31 腾讯科技(深圳)有限公司 鉴权方法、业务服务器、客户端及计算机可读存储介质
CN111786931B (zh) * 2019-04-03 2022-08-02 北京德信东方网络科技有限公司 身份认证的方法和装置
CN117201462A (zh) * 2019-05-31 2023-12-08 苹果公司 为设备上的服务注册和关联多个用户标识符
CN110266708B (zh) * 2019-06-27 2021-07-13 恒宝股份有限公司 一种基于设备集群的终端安全验证***和方法
CN112218251B (zh) * 2019-07-09 2022-01-07 普天信息技术有限公司 宽带集群并发业务处理方法和装置
CN110430065B (zh) * 2019-08-08 2022-03-29 浪潮云信息技术股份公司 一种应用服务调用方法、装置及***
CN110493239B (zh) * 2019-08-26 2021-11-12 京东数字科技控股有限公司 鉴权的方法和装置
CN110958248A (zh) * 2019-12-03 2020-04-03 紫光云(南京)数字技术有限公司 网络服务***间的免密认证方法、装置及***
CN113111335B (zh) * 2020-01-13 2023-12-29 深信服科技股份有限公司 一种认证方法、装置、设备及存储介质
CN113132337B (zh) * 2020-01-15 2022-06-07 成都鼎桥通信技术有限公司 一种集群终端的sip注册方法和装置
CN113141328B (zh) * 2020-01-16 2022-06-07 成都鼎桥通信技术有限公司 终端的业务注册方法和***
CN111431920A (zh) * 2020-03-31 2020-07-17 中国建设银行股份有限公司 一种基于动态令牌的安全控制方法及***
CN111641697B (zh) * 2020-05-22 2023-02-10 福建北峰通信科技股份有限公司 一种公网对讲***业务服务器的动态分布式***及方法
CN111770068B (zh) * 2020-06-15 2022-12-30 上海翌旭网络科技有限公司 一种基于最优链路选择的一致性鉴权方法
US12028324B1 (en) * 2020-07-01 2024-07-02 Cable Television Laboratories, Inc. Systems and methods for advanced chained authentications and authorizations
CN113010880B (zh) * 2021-02-08 2022-10-14 上海新时达电气股份有限公司 电梯配件认证方法、***、服务器和存储介质
CN113613178A (zh) * 2021-06-30 2021-11-05 程宗智 一种终端侧的lte集群组配置方法及配置***
CN113572827B (zh) * 2021-07-13 2024-01-16 支付宝(中国)网络技术有限公司 注册处理方法及装置
CN113656787B (zh) * 2021-08-12 2023-10-27 青岛海信智慧生活科技股份有限公司 服务提供设备、终端、鉴权设备、资源访问方法及***
CN113691534B (zh) * 2021-08-24 2023-02-17 厦门熵基科技有限公司 一种身份认证计费***和方法
CN114448703B (zh) * 2022-01-29 2023-11-17 北京百度网讯科技有限公司 请求处理方法、装置、电子设备及存储介质
CN115242400B (zh) * 2022-06-29 2024-06-04 重庆长安汽车股份有限公司 一种车机Token唯一化与云端认证***及方法
CN116074014A (zh) * 2022-11-25 2023-05-05 四川启睿克科技有限公司 一种多应用服务器统一认证方法及***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103051631A (zh) * 2012-12-21 2013-04-17 国云科技股份有限公司 PaaS平台与SaaS应用***的统一安全认证方法
CN103188248A (zh) * 2011-12-31 2013-07-03 卓望数码技术(深圳)有限公司 基于单点登录的身份认证***及方法
EP2809042A1 (en) * 2013-05-29 2014-12-03 Telefonica Digital España, S.L.U. Method for authenticate a user associated to a user agent implemented over SIP protocol

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007071009A1 (en) * 2005-12-23 2007-06-28 Bce Inc. Wireless device authentication between different networks
CN1835438B (zh) * 2006-03-22 2011-07-27 阿里巴巴集团控股有限公司 一种在网站间实现单次登录的方法及网站
US20090271847A1 (en) * 2008-04-25 2009-10-29 Nokia Corporation Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On
US9578182B2 (en) * 2009-01-28 2017-02-21 Headwater Partners I Llc Mobile device and service management
US20140198687A1 (en) * 2009-01-28 2014-07-17 Headwater Partners I Llc Wireless end-user device providing ambient or sponsored services
US8510801B2 (en) * 2009-10-15 2013-08-13 At&T Intellectual Property I, L.P. Management of access to service in an access point
US8533803B2 (en) * 2010-02-09 2013-09-10 Interdigital Patent Holdings, Inc. Method and apparatus for trusted federated identity
US9141410B2 (en) * 2011-03-08 2015-09-22 Rackspace Us, Inc. Pluggable allocation in a cloud computing system
US8667579B2 (en) * 2011-11-29 2014-03-04 Genband Us Llc Methods, systems, and computer readable media for bridging user authentication, authorization, and access between web-based and telecom domains
CN103139168B (zh) * 2011-11-30 2016-01-20 ***通信集团公司 提高能力调用成功率的方法及开放平台
CN102904895A (zh) * 2012-10-23 2013-01-30 深圳市汇智集信息科技有限公司 安全认证机制的***及其安全认证的方法
US9027087B2 (en) * 2013-03-14 2015-05-05 Rackspace Us, Inc. Method and system for identity-based authentication of virtual machines

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103188248A (zh) * 2011-12-31 2013-07-03 卓望数码技术(深圳)有限公司 基于单点登录的身份认证***及方法
CN103051631A (zh) * 2012-12-21 2013-04-17 国云科技股份有限公司 PaaS平台与SaaS应用***的统一安全认证方法
EP2809042A1 (en) * 2013-05-29 2014-12-03 Telefonica Digital España, S.L.U. Method for authenticate a user associated to a user agent implemented over SIP protocol

Also Published As

Publication number Publication date
EP3267704A1 (en) 2018-01-10
EP3267704A4 (en) 2018-07-18
CN106162574A (zh) 2016-11-23
EP3267704B1 (en) 2020-05-06
WO2016155668A1 (zh) 2016-10-06
HUE050072T2 (hu) 2020-11-30
RS60661B1 (sr) 2020-09-30
US10721230B2 (en) 2020-07-21
US20180026982A1 (en) 2018-01-25
ES2805809T3 (es) 2021-02-15

Similar Documents

Publication Publication Date Title
CN106162574B (zh) 集群***中应用统一鉴权方法、服务器与终端
US8949950B2 (en) Selection of successive authentication methods
CN103733701B (zh) 用于订阅互联网协议多媒体子***(ims)应用服务注册状态的***和方法
CN1901448B (zh) 通信网络中接入认证的***及实现方法
US8775586B2 (en) Granting privileges and sharing resources in a telecommunications system
RU2527730C2 (ru) Управление ключами безопасности в основанных на ims услугах широковещания и многоадресного вещания мультимедиа (mbms)
US20120284786A1 (en) System and method for providing access credentials
US20110035768A1 (en) Method and Arrangements for Control of Consumption of Content Services
CN107113312A (zh) 将会话发起协议互联网协议多媒体子***的呼叫分拨到多个相关联的装置
KR20120109580A (ko) 인증 방법, 시스템 및 장치
JP2014514624A (ja) 異なる端末のアプリケーション間の通信
US9369873B2 (en) Network application function authorisation in a generic bootstrapping architecture
WO2003007573A1 (en) A mechanism to allow authentication of sip calls terminated to a mobile node
US7600116B2 (en) Authentication of messages in a communication system
KR20150058534A (ko) 인증 정보 전송
CN105493064A (zh) 身份管理***
WO2009024030A1 (fr) Procédé d'enregistrement d'utilisateur, système, terminal et serveur basés sur un protocole d'initiation de session
EP2809042A1 (en) Method for authenticate a user associated to a user agent implemented over SIP protocol
EP2071806B1 (en) Receiving/transmitting agent method of session initiation protocol message and corresponding processor
US20110302245A1 (en) Realization method and system for participating in a predefined group session
WO2010121551A1 (zh) 一种群发消息处理方法、业务分发平台以及相关设备
CN103763144A (zh) 一种用户续费上线的方法和设备
CN116599777B (zh) 一种多端多级认证、鉴权的方法
US9444855B2 (en) Initiating a central server-directed communication session from an in-progress half call model communication session
US20240223547A1 (en) Network Supported Authentication

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant